Mija rok, odkąd 25 maja 2018 r. w Unii Europejskiej rozpoczęto stosowanie wyczekiwanego ogólnego rozporządzenia o ochronie danych (RODO). Związanych z tym było wiele obaw, niepewności i wątpliwości. Nadszedł jednak czas, aby w poświęconych RODO dyskusjach wyjść poza związany z nim szum i wspiąć się na wyższy poziom. Przepisy, które zastąpiły wcześniejszą dyrektywę o ochronie danych osobowych z 1995 r., wykazały w ciągu minionych dwunastu miesięcy dwie kluczowe cechy: konkretność i skuteczność.
Konsekwencją tych cech jest fakt, że ochrona danych stała się kwestią dostrzeganą na całym świecie, podobnie jak podstawowe prawa człowieka. Przedsiębiorstwa przetwarzające dane nie tylko powinny chcieć przestrzegać RODO, lecz także są teraz do tego zobowiązane przez UE. Można to uznać za dynamiczny krok naprzód i sukces dla branży – technologia nie może przecież osiągnąć swojego potencjału, jeśli konsumenci nie będą mieć niezbędnego zaufania w zakresie bezpieczeństwa i ochrony prywatności w odniesieniu do swoich danych.
Ochrona danych staje się konkretna
Jedną z najlepszych cech RODO jest konkretność tych przepisów. Wiadomo, komu służą, do kogo się odnoszą, co egzekwują i jakie są kary za ich nieprzestrzeganie. W związku z tym ludzie coraz częściej postrzegają ochronę danych jako podstawowe prawo człowieka, zbliżone do wolności słowa.
Przyczyną tej wyraźnej zmiany jest fakt, że RODO zwiększa świadomość zarówno na poziomie indywidualnym, jak i organizacyjnym. Tak jak tragiczne wydarzenia z 11 września 2001 r. przyniosły nam zablokowane drzwi do kabiny pilota, tak rozporządzenie RODO przyniosło konkretne, zasadnicze zmiany w sposobie zarządzania ochroną danych, jej regulowania i zgłaszania związanych z nią incydentów.
Z oficjalnych statystyk Komisji Europejskiej wynika, że obywatele wnieśli na podstawie RODO ponad 95 000 skarg, co uwidacznia, że ludzie są obecnie bardziej świadomi naruszania ich praw w zakresie danych osobowych. Dodatkowe statystyki wskazują na większe zrozumienie po stronie przedsiębiorstw, które samodzielnie zgłosiły 41 000 naruszeń.
Inne wymierne skutki, które można powiązać z RODO, to ograniczenie stosowania śledzących plików cookie innych firm na stronach internetowych i rosnąca nieufność w obrębie marketingowego łańcucha dostaw. W raporcie sporządzonym przez Instytut Studiów nad Dziennikarstwem Reutersa odnotowano, że na trzy miesiące po wprowadzeniu RODO stosowanie plików cookie spadło o 22 proc., a wydawcy, firmy z branży technologii reklamowych i agencje marketingowe modyfikują umowy, aby uniknąć udziału w naruszeniach ochrony danych.
Tak jak zablokowane drzwi kabiny pilota zwiększają bezpieczeństwo lotów bez negatywnego wpływu na latanie jako takie, tak konsekwencje RODO są niewidoczne, lecz istotne. Badanie firmy Cisco wykazało, że 75 proc. klientów odnotowuje większe korzyści ze swoich inwestycji w ochronę prywatności, jak choćby uzyskaną przez poprawę zarządzania danymi większą elastyczność i innowacyjność.
RODO szczerzy zęby
Jednym z głównych powodów, dla których rozporządzenie RODO wywołało takie poruszenie poza obszarami ochrony danych i korporacyjnych kwestii prawnych, są olbrzymie kary za jego nieprzestrzeganie. Komisja Europejska może nakładać na przedsiębiorstwa grzywny sięgające 20 mln EUR lub 4 proc. ich globalnych rocznych obrotów (zależnie od tego, która kwota jest wyższa), jeśli okaże się, że złamały jakikolwiek z zapisów rozporządzenia.
Co więcej, organy ochrony danych rzeczywiście te środki stosują — w statystykach Komisji Europejskiej widnieje 91 odnotowanych kar grzywny w ciągu pierwszych ośmiu miesięcy obowiązywania RODO.
Najsłynniejszą z tych kar finansowych była grzywna w wysokości 50 mln EUR nałożona w styczniu 2019 r. na firmę Google przez francuską komisję ds. informatyki i wolności. Władze niemieckie wymierzyły z kolei za naruszenia rozporządzenia RODO ponad 40 niższych kar pieniężnych.
Oprócz sankcji finansowych, które mogą wręcz zrujnować mniejsze przedsiębiorstwa, mające mniej środków niż światowi giganci przetwarzający dane, ważny jest też bardziej subtelny aspekt odstraszający: ryzyko utraty reputacji. Ochrona danych jest coraz częściej postrzegana jako jedna z podstawowych swobód obywatelskich, dlatego przedsiębiorstwa każdej wielkości naprawdę nie mogą sobie pozwolić na piętno podmiotu naruszającego to prawo.
Jaka jest przyszłość RODO?
W najbliższym roku nie nastąpi żadne radykalne przesunięcie w zakresie samych przepisów. RODO po prostu działa. Możemy spodziewać się więcej ze strony organów regulacyjnych: więcej grzywien, surowszych kar i dalszych starań ukierunkowanych na ujawnianie niezgodności z przepisami.
Warto obserwować, czy rozmowy, do których RODO zmusza dyrektorów ds. informatycznych, doprowadzą do konsekwencji na szczeblu globalnym, zwłaszcza w odniesieniu do praktyk w zakresie ochrony danych w takich krajach jak Chiny i Stany Zjednoczone.
Komisja Europejska w dalszym ciągu będzie prężyć muskuły w obszarze ochrony danych, spodziewamy się też jednak zmian w sposobie korzystania z danych osobowych przez przedsiębiorstwa. W dobie cyfrowej dane są fundamentem firm — mimo przykładów niektórych podmiotów, które podeszły do RODO radykalnie i usunęły całe swoje bazy danych użytkowników.
Dane gromadzone dziś mogą być wykorzystywane do generowania analiz w przyszłości i posłużyć do zapewnienia użytkownikom lepszych doświadczeń, opracowywania produktów dostosowanych do realnych potrzeb rynku i nagradzania klientów za lojalność. Wraz ze wzrostem świadomości użytkowników spadać będzie tolerancja wobec firm, które gromadzą dane, lecz ich nie szanują.
Dlatego przedsiębiorstwa, które nie poradzą sobie z ochroną danych i nie włączą ochrony prywatności w swoją kulturę korporacyjną, muszą spodziewać się gwałtownej reakcji klientów i drakońskich kar ze strony regulatorów. Zdaniem firmy Veeam ochrona danych nie powinna być postrzegana jako coś, co trzeba odhaczyć lub co robi się wyłącznie z przymusu.
Osiąganie zgodności z RODO to ciągły proces, a sukcesu nie należy rozpatrywać w kategorii nieotrzymania kary ani tym bardziej nieponiesienia konsekwencji za popełnione naruszenie. Przedsiębiorstwa muszą traktować zrozumienie i ochronę swoich danych oraz zarządzanie nimi jako powód do dumy. Zgodność z przepisami jest tylko jednym z kroków na drodze do stworzenia przedsiębiorstwa opartego na danych, które nieustannie poszukuje nowych sposobów na wykorzystywanie informacji do tworzenia lepszych produktów, usług i doświadczeń dla klientów.
